Ağ’da Yaşanabilecek Sorunlar ve Çözümleri

Ağ’da Yaşanabilecek Sorunlar ve Çözümleri

Bu makalemizde herhangi bir network sisteminde günlük hayatta karşımıza sıklıkla çıkan sorunları çözümleri ile inceleyeceğiz.

Ağda yaşanan sorunlar( Loop vb.) çoğu zaman yapının ilk kurulduğu süreçte ortaya çıkar. Sonrasında ağa yeni bir cihaz & uygulama dâhil edilmediği sürece, başlangıçta iyi bir yapı kurulmuşsa nadiren sorunlarla karşılaşırsınız.

Bu yazıda sahada daha önce karşılaşılmış bazı sorunlara ve çözümüne değinilecektir. Bu tip sorunların yaşanması halinde çözüme daha hızlı ulaşabilmek için sakin kalmak gerektiğini unutmayın. :)

 

1.LOOP Sorunu

Eğer STP kullanmıyorsanız & STP ayarları doğru yapılmadıysa;

Ağın genelini etkileyen ciddi bir erişim sorunu varsa;

Kenar anahtar, omurga anahtar, güvenlik duvarı vb. cihazlar ayakta ise ;

DNS, DHCP sunucuları ayakta ve çalışır durumdaysa;

VLAN tagları, routingler olması gerektiği gibi ise; kısacası her şeyin yolunda olması gerektiği bir durumda hiçbir şey yolunda değilse ağınızda bir loop olma ihtimali yüksektir. Loop olan bir ağda ağ geçidinize (gateway – vlan gateway) ping atmanız bile neredeyse imkânsız hale gelir. Normal şartlar altında ağ geçidinize (kablolu ağlarda) en kötü ihtimalle 1-5ms arasında istikrarlı bir şekilde ping atabiliyor olmanız gerekir. Loop olan bir ağda ise ağ geçidinize attığınız pinglerde %99’a varan kayıplar görürsünüz, gecikme süreleri ise binlerce ms’ye çıkar.

 

 

ÇÖZÜMÜ

Çözüm 1: Bu gibi durumlarda omurga anahtar ve kenar anahtarlara console ile bağlanıp (loop’dan dolayı telnet, ssh yapmanız münkün olmayacaktır) CDP, LLDP, ELSM vb. gibi ağdaki komşu network cihazlarının tanıtılmasında kullanılan protokoller ile loop’u testip edebilirsiniz.

Cisco için: show cdp neighbors

HP için: show lldp info remote-device (LLDP protokolü üretici bağımsız olduğu için tüm ağ anahtarlarında marka fark etmeksizin kullanılabilir.)

Extreme Networks için: show elsm ports all

Komutlarının çıktıları incelendiğinde eğer farklı portlar arkasında aynı (mac adresli) network cihazlarını görüyorsanız tebrikler loop’u tespit ettiniz. Bu iki kablodan birini sökün ve sorunun giderilip giderilmediğini test edin.

Çözüm 2: STP kullanıyorsanız ve doğru yapılandırma yapılmışsa ağın genelini etkileyen loop kaynaklı erişim sorunu olmayacaktır. Küçük, bölgesel, port temelli kesintiler olabilir (özellikle çok sayıda Hub’ın bulunduğu karmaşık ağlarda). Bunları ise aşağıdaki komutlarla tespit edebilirsiniz:

HP ve Cisco için: show spanning-tree [vlan id] : Port durumu Forwarding (FWD) ise o porttan kaynaklı loop yok demektir. Eğer port durumu Blocked (BLK) ise o port loop’a engel olmak için kapatılmış demektir.

 

 

Extreme Networks için: Show vlan [vlan adı] : Komutu çıktısında port numarasının yanında (b) harfi var ise port loop engellemek için kapatılmış demektir.

Diğer tüm marka model ağ anahtarı cihazlarında buna benzer komutlar ile port durumunu kontrol edebilirsiniz.

 

Çözüm 3: Çoğu zaman daha kolay ve kesin çözüm olarak görüldüğü için tercih sebebi olan bu yöntemde loop’a sebep olan portu tespit etmek için ağ anahtarı üzerindeki portlar tek tek çıkartılır. Eğer omurga anahtarı da bulunan büyük bir ağda iseniz, port söküp takma işlemine buradan başlamanız işinizi kolaylaştıracaktır. Bir bilgisayardan normal şartlar altında ping atmasını beklediğiniz bir IP’ye doğru ping başlatın ve tek tek, kısa süre beklemelerle portları sökün, ping’e cevap geldiği anda sökmüş olduğunuz port loop’a sebep olan porttur. O portun arkasında başka ağ cihazları var ise, loop’un asıl kaynağını bulmak için o cihazlarda da bu işlemi yapın. Loop’a sebep olan portu sökün.

 

2. Diğer Ağ Bağlantı Sorunları

2.1. Port yapılandırması ile ilgili sorunlar

2.1.1. Ağ anahtarında Manuel hız ve duplex ayarı (port speed)

Akıllı ağ anahtarları bir portun hızını ve duplex’ini el ile ayarlamaya imkân verir, bu bazı durumlarda çok da kullanışlı bir enstrümandır. Ağ anahtarları genelde auto-negotiation destekler ve bağlandığı cihazlarla konuşarak 10/100/1000Mbit gibi hangi hızda half duplex,  full duplex çalışacağına karar verir. Çalıştığına emin olduğunuz bir kablo ile iki network cihazını bağladıktan sonra, bağlantı sorununun olduğunu görüyorsanız bunun sebebi bağlantı yaptığınız portların çalışma hızlarının manuel olarak ayarlanmış olması olabilir. İki ağ anahtarını birbirine bağlayan portların birinde port hızı ayarlamasını el ile yapmaya karar verdiyseniz, mutlaka diğer cihazda da ilgili porta bu hız ayarlamasını el ile yapın.

Tespit edilmesi: Show running-config , Show config , display current-configuration vb. komutların çıktılarında interface ayarları altında “speed 10” “duplex half” gibi bir komut görüyorsanız o portun hızı manuel belirtilmiştir.

Çözüm: Tespit ettiğiniz hatalı yapılandırmayı kaldırın.

2.1.2. Portun shutdown edilmesi, auto-negotiation kapalı olması , vlan yapılandırması

Eğer bir port yapılandırılırken shutdown edildiyse, auto-negotiation kapatılmışsa,  vlan yapılandırması yanlışsa bağlantı sorunu yaşanacaktır. Bu üç yapılandırma ilk bakılması gereken yerlerdendir. (Ağ güvenliğinin artırılması amacıyla kullanılmayan tüm portların shutdown edilmesi doğru olandır.)

Tespit edilmesi: Show running-config , Show config , display current-configuration vb. komutların çıktılarında interface ayarları altında görülebilecek olan “shutdown” “no auto-negotiation” yapılandırmaları mevcuttur.

Çözüm: Tespit ettiğiniz hatalı yapılandırmayı düzeltin.

2.2. Uyumsuzluk – desteklememe sorunları

2.2.1. Cihazların Ethernet hız desteklerinin limitli olması

Bazı durumlarda ağ cihazı ile uçtaki cihaz (pc, ip kamera vs) arasında bağlantı hızı uyumsuzlukları olabiliyor. Örneğin ağ anahtarı 100/1000Mbit desteklerken 10Mbit desteklemeyebiliyor, kapı geçiş sisteminde kullanılan kart okuyucu ise yalnızca 10Mbit hızda çalışmak için tasarlanmış olabiliyor. Bu gibi durumlarda yapılandırma ile sorunu çözmenin bir yolu olmadığından, ilk kontrol edilmesi gereken noktalardan birisi bağlantı yapılacak cihazlarının birbirine hız uyumlarının olup olmadığıdır. Aksi takdirde saatlerce yazılım güncellemesi, farklı kablo farklı cihaz deneme gibi çözüm yolları üretmeye çalışırken zaman kaybedebilirsiniz.

2.2.2. Transciever – GBIC – SFP uyumsuzluğu

Birçok üretici ağ cihazlarının desteklediği fiber modül markalarını sınırlandırır. Hatta bazen aynı üreticiye ait ağ cihazı ve fiber modülü uyumsuz olabilmektedir. Ağ anahtarına takılmış olan fiber modülün uyumlu olup olmadığını aşağıdaki komutlarla kontrol edebilirsiniz:

Cisco: Show inventory , Show interface transciever

Hp: Show tech transcievers

Extreme networks: Show ports transciever information detail , debug hal show optic-info

2.3. Yapılandırma dikkatsizlikleri

2.3.1. LACP port yapılandırması

Özellikle kurumsal sistemlerde yedekli yapıya önem verilir. Güvenlik duvarları ve omurga anahtarlar gibi kritik cihazlar yedekli (Aktif/Aktif – Aktif/Pasif ) çalıştırılır. Ağ cihazları arasındaki yedeklik de 2 veya daha fazla kablo LACP protokolü ile birlikte çalıştırılarak sağlanır. Bu tip durumlarda gerekli yapılandırma cihazları birbirine bağlayan portlar altında değil, LACP portu altında (etherchannel, trunk, port group, lag ..) yapılması gerekir. Fiziksel portlar baz alınarak yapılacak yapılandırmalar mantıksal (lacp) portu etkilemez. O yüzden orada zaman kaybetmeyin.

2.3.2. L3 interface yapılandırma yanlışları (IP çakışması)

Bazı durumlarda dikkatsizlikten & bilgi aktarımı eksikliğinden dolayı hali hazırda başka bir yerde kullanılan bir IP, bir ağ cihazına tanımlanabiliyor veya tam tersi. Bu tip durumlarda aynı IP’ye sahip bu iki cihazı da etkileyen bir erişim sorunu oluyor.

Tespit: Show running-config, Show ip interface brief, Show arp, Show ip arp vb. komutlarla çakışan IP’nin nerede tanımlandığını, hangi mac adresine sahip üzerinde olduğunu görebilirsiniz.

Çözüm: IP’yi tanımlı olduğu yerden kaldırın.

 

 

Tavsiye Kitap:

Bilgisayar Ağlarında Saldırı ve Savunma

Kavramlar – Güvenlik – Uygulama

Gökhan Usta

https://www.seckin.com.tr/9789750232244

Referans:

*https://alperensoyalp.com/

Muhammet Hasan Güngör
Orta Doğu Teknik Üniversitesi Bilgisayar Mühendisliği
Yorum Yaz

Yorum yazabilmek için üye girişi yapmanız gerekiyor!

Siber Güvenlik ile ilgili yazılarınız çok başarılı. İstifade ediyoruz. Tebrik ederim.
Kapsamlı anlatıyorsunuz. Başarılarınızın devamını dilerim. Udemy'de de güzel Ethical Hacker kursları var. Tavsiye ederim. Şu an uygulamalı çalışıyorum. Kolay gelsin...
Teşekkürler, hocam faydalı olabiliyorsak ne mutlu bizlere...

Yukarı Git